NIS-2 Compliance
NIS-2
Sind Sie vorbereitet?
Unsere Experten helfen Ihnen, die komplexen Anforderungen der NIS-2-Richtlinie verständlich einzuordnen und rechtssicher in Ihrem Unternehmen zu implementieren.
Hintergrund
Warum wurde die NIS-2-Richtlinie eingeführt?
Nachfolge der NIS-1-Richtlinie von 2016
Die NIS-2-Richtlinie (EU) 2022/2555 ersetzt die veraltete NIS-Richtlinie (EU 2016/1148) und passt das EU-Cybersicherheitsrecht an die stark gestiegenen Cyberrisiken an.
Reaktion auf neue Bedrohungen
Professionelle Cyberangriffe, geopolitische Konflikte, Ransomware-Kampagnen und die zunehmende Digitalisierung kritischer Prozesse erforderten eine umfassende Modernisierung.
Harmonisiertes EU-Schutzniveau
NIS-2 reduziert die bisherige Fragmentierung innerhalb der EU, erweitert den Kreis betroffener Unternehmen massiv und hebt das Schutzniveau insgesamt deutlich an.
Ziele
Was sind die Ziele der NIS-2-Richtlinie?
Das zentrale Ziel ist ein verbindliches und EU-weit harmonisiertes Cybersicherheitsniveau aller Unternehmen, die für Wirtschaft, Versorgung und Gesellschaft unverzichtbar sind.
Erhöhung der Cyberresilienz
Unternehmen und Behörden sollen wirksam vor Cyberangriffen geschützt werden.
Verbesserte Incident Response
Strenge Meldepflichten und klare Reaktionsprozesse bei Sicherheitsvorfällen.
Absicherung von Lieferketten
Auch Zulieferer werden als Risikoquelle betrachtet. Supply-Chain-Security wird Pflicht.
Einheitlicher Mindeststandard
Ein harmonisiertes Schutzniveau in der gesamten EU, das nationale Unterschiede abbaut.
Stärkung der Aufsicht
Verbindlichere und striktere Aufsicht durch nationale Behörden und das BSI.
Wirksame Sanktionen
Deutlich verschärfte Sanktionen machen Cybersicherheit zur Unternehmenspflicht.
Warum machCon?
Mit machCon zur NIS-2-Compliance
Die genau richtige Kombination aus Expertise, Effizienz und persönlicher Begleitung für eine erfolgreiche und stressfreie NIS-2-Umsetzung.
Unsere Spezialisten kennen alle Anforderungen im Detail und machen komplexe Vorgaben verständlich und umsetzbar.
Wir integrieren NIS-2 in Ihre bestehenden Prozesse, ohne unnötigen Aufwand oder operative Belastung.
Wir begleiten Sie mit klaren Schritten, verlässlicher Kommunikation und durchgängiger Orientierung.
Betroffenheit
Wen betrifft NIS-2?
NIS-2 gilt für Organisationen in insgesamt 18 kritischen und wichtigen Sektoren und damit auch für viele Betriebe, die unter der bisherigen NIS-Richtlinie nicht verpflichtet waren.
Energie
Strom, Gas, Fernwärme, Öl und Wasserstoff. Die gesamte Energiebranche ist erfasst.
Verkehr
Luft-, Schienen-, Straßen- und Schifffahrt sowie zugehörige Infrastrukturen.
Bankwesen & Finanzmarkt
Kreditinstitute, Handelsplätze, zentrale Gegenparteien, Versicherungen und Finanzmarktinfrastrukturen.
Gesundheit
Krankenhäuser, Laboratorien, Hersteller medizinischer Produkte und Pharmakonzerne.
Trinkwasser & Abwasser
Trinkwasserversorger und Abwasserentsorger als kritische Infrastruktur.
Digitale Infrastruktur
Cloud-Anbieter, Rechenzentren, CDN-Provider, DNS-Resolver, TLD-Registries und IKT-Dienste.
Öffentliche Verwaltung
Behörden auf Bundes- und Landesebene unterliegen ebenfalls den NIS-2-Anforderungen.
Weltraum
Betreiber von Bodeninfrastruktur für Weltraumdienste sind als wesentliche Einrichtungen erfasst.
Verarbeitendes Gewerbe & weitere
Hersteller von Medizinprodukten, Maschinen, Fahrzeugen, Chemikalien sowie Post- und Kurierdienste ab bestimmter Größe.
Schwellenwerte
Ab welcher Unternehmensgröße gilt NIS-2?
Wesentliche Einrichtungen (Anhang I)
Große Unternehmen in kritischen Sektoren: mehr als 250 Beschäftigte oder mehr als 50 Mio. € Jahresumsatz und mehr als 43 Mio. € Jahresbilanz. Unterliegen der strengsten Aufsicht und den höchsten Bußgeldern.
Wichtige Einrichtungen (Anhang II)
Mittelgroße Unternehmen: mehr als 50 Beschäftigte oder mehr als 10 Mio. € Jahresumsatz oder mehr als 10 Mio. € Jahresbilanz. Ebenfalls umfassend reguliert, aber mit angepasster Aufsichtsintensität.
Kleine Unternehmen in besonderen Ausnahmen
Grundsätzlich sind kleine Unternehmen nicht betroffen. In Ausnahme von Unternehmen mit kritischen Tätigkeiten, Auswirkungen auf die öffentliche Sicherheit oder grenzüberschreitenden Folgen. Lieferanten betroffener Unternehmen können indirekt betroffen sein.
„Ab dem Inkrafttreten des deutschen NIS-2 Gesetzes gelten die Pflichten und möglichen Sanktionen ohne Verzögerung. Zwar müssen Nachweise zur Umsetzung in der Regel erst nach drei Jahren vorgelegt werden, doch besonders kritische Unternehmen können bereits vorher Kontrollen durch unabhängige Prüfer erwarten. Für Unternehmen ist jetzt der richtige Zeitpunkt, aktiv zu werden."
Zdravko Matić
IT-Security Consultant, machCon
NIS-2-Pflichten
Was müssen betroffene Unternehmen tun?
Unternehmen müssen eine Reihe verbindlicher organisatorischer, technischer und strategischer Maßnahmen umsetzen.
Risikoanalyse & Sicherheitskonzept
Systematische Bewertung und nachvollziehbare Behandlung von Cybersicherheitsrisiken durch Dokumentation.
Sicherheitsvorfälle & Meldepflicht
Signifikante Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde (BSI) gemeldet werden.
Risikomanagement
Aufbau und Betrieb eines strukturierten Risikomanagements als dauerhafter Prozess.
Business Continuity & Krisenmanagement
Notfallplanung und Business Continuity Management zur Sicherstellung des Betriebs auch im Krisenfall.
Kryptografie & Multi-Faktor-Authentifizierung
Einsatz moderner Verschlüsselung und starker Authentifizierungsverfahren als technische Mindestanforderung.
Security Awareness & Schulungen
Regelmäßige Sensibilisierung und Schulung aller Mitarbeitenden. Inklusive Phishing-Simulationen.
Lieferkette absichern
Sicherheitsanforderungen auch gegenüber Lieferanten und Dienstleistern. Supply-Chain-Security wird Pflicht.
Zugangskontrolle & Asset Management
Bestandsaufnahme aller kritischen IT-Assets und strikte Kontrolle von Zugängen und Berechtigungen.
Geschäftsführerhaftung
Neu: Persönliche Haftung der Unternehmensleitung
Die Strenge der Sanktionen soll sicherstellen, dass Unternehmen Cybersicherheit nicht länger als optionale Maßnahme betrachten, sondern als Pflicht und kontinuierlichen Prozess.
Geschäftsführer haften persönlich
NIS-2 verpflichtet die Unternehmensleitung ausdrücklich zur Verantwortung für Cybersicherheitsmaßnahmen. Bei grober Verletzung dieser Pflichten drohen persönliche Sanktionen.
Hohe Bußgelder für wesentliche Einrichtungen
Für wesentliche Einrichtungen: Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Bußgelder für wichtige Einrichtungen
Für wichtige Einrichtungen: Bußgelder bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.
Behördliche Anordnungen & Audits
Behördliche Anordnungen zur Umsetzung von Maßnahmen, Nachschulung oder IT-Prüfungen sowie intensivere Überwachung durch nationale Behörden.
Unser Leistungsportfolio
machCon verhilft Ihnen zum Ziel
Mit einem strukturierten, transparenten und praxisnahen Vorgehen begleiten wir Sie Schritt für Schritt durch den gesamten Prozess. Wir analysieren Ihren aktuellen Stand, identifizieren konkrete Handlungsfelder und entwickeln passgenaue Maßnahmen mit Blick auf Ihre Ziele, Ressourcen und Prioritäten.
Aufbau und/oder Weiterentwicklung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 oder BSI Grundschutz.
Bestandsaufnahme und Klassifizierung aller kritischen IT- und Unternehmenswerte.
Strukturierte und praxisnahe Identifikation, Analyse und Steuerung von Sicherheitsrisiken.
Implementierung klarer Regeln, Verantwortlichkeiten und technischer Schutzmaßnahmen (TOMs) für alle Mitarbeitenden.
Einbindung und Kontrolle von Partnern und Zulieferern sowie Business Continuity Management für den Krisenfall.
Regelmäßige interne Audits, Nachweisführung und Schulungsmaßnahmen zur Sensibilisierung Ihrer Mitarbeitenden.
Unser Vorgehen
In drei Schritten zur NIS-2-Compliance
Sie möchten die NIS-2 Compliance mit uns erreichen oder vorerst nur eine Fit-Gap Analyse ihres Unternehmens erhalten? Kein Problem!
Unverbindliches Kennenlerngespräch
In einem kostenlosen und unverbindlichen Erstgespräch klären wir gemeinsam Ihre individuellen Bedürfnisse, Ziele und Herausforderungen. Dabei legen wir den Grundstein für eine vertrauensvolle und erfolgreiche Zusammenarbeit und schaffen Transparenz über den gesamten Prozess.
Analyse Ihrer Situation
Wir nehmen Ihr Unternehmen genau unter die Lupe: Prozesse, IT-Systeme, Sicherheitsmaßnahmen und bestehende Risiken werden sorgfältig bewertet. Schwachstellen werden klar und verständlich aufgezeigt, sodass Sie jederzeit nachvollziehen können, wo Handlungsbedarf besteht.
Wir stehen an Ihrer Seite
Ob bei der Umsetzung der Maßnahmen, der Weiterentwicklung Ihres ISMS oder der langfristigen Betreuung, wir begleiten Sie Schritt für Schritt. So stellen wir sicher, dass Ihr Unternehmen nicht nur compliant ist, sondern auch dauerhaft widerstandsfähig gegen Cyberrisiken bleibt.
Kundenstimmen
Was unsere Kunden sagen
" Die Zusammenarbeit mit machCon hat unsere Erwartungen übertroffen. Ihre Expertise und maßgeschneiderten Lösungen haben unsere Sicherheitsinfrastruktur erheblich verbessert und sie helfen uns dabei, die für uns nötigen NIS-2-Maßnahmen zu verstehen und zu ergreifen. Mit ihrer professionellen und proaktiven Herangehensweise haben sie uns überzeugt! "
FSM AG
Kunde von machCon
" Durch die NIS-2 und IT-Security-Beratung von machCon konnten wir uns endlich orientieren und unsere IT-Sicherheitsmaßnahmen signifikant optimieren. Durch die professionelle Beratung und die individuell auf unsere Bedürfnisse zugeschnittenen Lösungen fühlen wir uns bereit und sicher, sobald die Einhaltung der NIS-2 verabschiedet wird. Wir empfehlen Ihre Dienstleistungen uneingeschränkt weiter. "
Renfert GmbH
Kunde von machCon
" Dank machCons NIS-2 und IT-Security-Beratung haben wir unsere Sicherheitsmaßnahmen deutlich verbessert. Ihre Expertise und maßgeschneiderten Lösungen haben uns dabei geholfen, die NIS-2-Anforderungen problemlos zu erfüllen. Besonders schätzen wir Ihre unkomplizierte und engagierte Arbeitsweise. Wir sind sehr zufrieden und empfehlen machCon als Partner gerne weiter. "
Fidel Dreher GmbH
Kunde von machCon
FAQ
Häufige Fragen zu NIS-2
Ab wann gilt NIS-2 in Deutschland?
In Deutschland gilt NIS-2 seit dem 6. Dezember 2025. Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) sind die entsprechenden Pflichten für betroffene Unternehmen grundsätzlich unmittelbar wirksam geworden.
Welche Unternehmensgröße ist betroffen?
Grundsätzlich Unternehmen mit mehr als 50 Mitarbeitenden oder mehr als 10 Mio. € Jahresumsatz in einem der 18 erfassten Sektoren. Wesentliche Einrichtungen sind ab 250 Mitarbeitenden oder 50 Mio. € Umsatz betroffen. Für bestimmte Einrichtungen (z.B. Betreiber kritischer Anlagen) gilt NIS-2 unabhängig von der Größe.
Was passiert bei Verstößen?
Für wesentliche Einrichtungen: Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen: Bußgelder bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes. Zusätzlich: persönliche Haftung der Geschäftsleitung und behördliche Anordnungen.
Was sind die wichtigsten technischen Anforderungen?
Zu den zentralen technischen Maßnahmen gehören: Risikoanalyse und Sicherheitskonzept, Multi-Faktor-Authentifizierung, Verschlüsselung, Zugangskontrolle, regelmäßige Sicherheits-Updates, Backup-Systeme und ein strukturiertes Patch-Management.
Betrifft NIS-2 auch meine Lieferanten?
Ja, NIS-2 fordert ausdrücklich die Absicherung der gesamten Lieferkette. Betroffene Unternehmen müssen auch Sicherheitsanforderungen an ihre Dienstleister und Zulieferer stellen und deren Einhaltung prüfen.
Wie kann machCon helfen?
Wir prüfen zunächst Ihre NIS-2-Betroffenheit, entwickeln dann einen priorisierten Umsetzungsplan und begleiten Sie durch alle Anforderungen. Von der Risikoanalyse über ISMS-Aufbau und Schulungsmaßnahmen bis zur Meldepflicht-Prozedur.
Download
NIS-2 Compliance leicht gemacht
Whitepaper, Checklisten und Leitfäden, damit Sie die NIS-2-Anforderungen effizient umsetzen und Risiken proaktiv minimieren.
Alles was Sie jetzt wissen müssen auf einen Blick. Kompakt, praxisnah und kostenfrei: Laden Sie unser NIS-2 Cheat Sheet herunter und behalten Sie den Überblick.
Wir stellen Ihnen laufend weitere Ressourcen rund um NIS-2 zur Verfügung. Schauen Sie gerne wieder vorbei oder kontaktieren Sie uns direkt.
Jetzt NIS-2-Readiness prüfen
In einem kostenlosen 30-minütigen Erstgespräch prüfen wir Ihre Betroffenheit und zeigen Ihnen die nächsten Schritte.